Avec Windows Autopatch, Microsoft promet enfin des jours meilleurs aux administrateurs IT. Ce service SaaS de patch management dédié à Windows et Office assure une gestion prudente, intelligente et totalement automatisée du déploiement des correctifs et mises à jour pour disposer en toute quiétude d’un parc informatique à jour et plus sécurisé. Trop beau pour être vrai ?
Les patchs de sécurité Windows du second mardi de chaque mois (le fameux Patch Tuesday) sont redoutés par tous les DSI et administrateurs système : ils sont en effet indispensables pour maintenir la sécurité du système d’information mais l’orchestration de leurs déploiements peut être complexe, voire chaotique, surtout dans un monde où bien des collaborateurs travaillent au moins partiellement à domicile.
C’est justement pour simplifier le processus tout en offrant une visibilité maximale que Microsoft annonce pour l’été prochain le lancement d’un nouveau service de patch management en mode SaaS dénommé « Windows Autopatch ».
Un nouveau service qui porte une idée phare même si celle-ci sonne un peu comme une promesse électorale : permettre aux IT de se décharger de la lourdeur de la gestion du déploiement des patchs et mises à jour en la confiant à Microsoft !
Destiné à toutes les entreprises ayant opté pour des licences Windows 10/11 Entreprise E3 (et au-delà), le service se charge en effet de maintenir automatiquement à jour toutes vos installations Windows et Office !
« Ce service permettra de maintenir automatiquement à jour les logiciels Windows et Office sur les terminaux inscrits au service, sans coût supplémentaire ! Le deuxième mardi de chaque mois ne sera désormais plus qu’un ‘mardi comme les autres’ », promet Lior Bela, responsable senior Product Marketing chez Microsoft. « Windows Autopatch gère tous les aspects des groupes de déploiement qu’ils s’agissent des mises à jour de sécurité, de qualité et de fonctionnalités de Windows 10 et Windows 11, des mises à jour de pilotes ou de micrologiciels et des mises à jour des applications Microsoft 365 pour les entreprises. »
Le service permet d’implémenter des bonnes pratiques de déploiement tout en s’assurant que le système d’information bénéficie au plus tôt des correctifs de sécurité dont l’absence peut mettre en péril la résilience de l’entreprise.
Ainsi, Windows Autopatch permet aux administrateurs de répartir les PC et serveurs de l’entreprise en 4 groupes : un groupe « tests » (comportant peu de machines et sans impacts sur la production), un groupe ‘first ring’ (d’environ 1% représentatif du parc), un groupe ‘fast ring’ (de machines devant être patchées en priorité et couvrant 9% du parc) et un groupe ‘broad ring’ (comportant toutes les machines restantes). « La population de ces anneaux est gérée automatiquement, de sorte qu’à mesure que les appareils vont et viennent, les anneaux conservent leurs échantillons représentatifs. Mais comme chaque organisation est unique, il reste possible pour les administrateurs de l’entreprise de déplacer manuellement des appareils spécifiques d’un anneau à l’autre » explique Microsoft.
Les déploiements sont réalisés progressivement par Windows Autopatch en commençant par le groupe de tests puis peu à peu les autres groupes. Avant de passer d’un groupe à l’autre, Windows Autopatch observe une période de validation durant laquelle le comportement et la performance des machines du groupe précédent sont observés et analysés en fonction de métriques récoltées avant le début du déploiement.
Windows Autopatch embarque également une fonctionnalité « Halt & Rollback » de sorte qu’en cas d’anomalies détectées, la poursuite du déploiement est arrêtée et les machines déjà déployées sont ramenées à leur état antérieur. Bien que ces processus soient automatiques, les administrateurs peuvent intervenir manuellement pour réclamer l’arrêt des déploiements ou éviter un rollback sur des machines déjà déployées et ne présentant pas d’anomalies. D’autant que l’interface du service est suffisamment granulaire pour sélectionner sur quelles machines le déploiement peut se poursuivre et sur quelles machines il doit être abandonné.
Microsoft explique également que le système s’améliore de lui-même : « Chaque fois qu’un problème survient avec une mise à jour, la solution au problème est, dès que disponible, automatiquement intégrée et appliquée aux déploiements futurs, offrant un niveau de service proactif qu’aucune équipe d’administration informatique ne pourrait facilement reproduire. Au fur et à mesure qu’Autopatch sert de nouvelles mises à jour, il ne fait que s’améliorer ». Le système n’évaluant pas simplement l’échec d’une mise à jour sur l’entreprise cliente mais sur l’ensemble des entreprises ayant adhéré au service, les risques d’incidents sont considérablement réduits.
Bien évidemment le service procure différents tableaux de bord et rapports pour surveiller l’état du parc ainsi que les planifications et réalisations des déploiements.
Sur le papier, Windows Autopatch sonne comme la solution que tous les admins IT attendaient depuis l’existence des premières versions de Windows. « En mettant l’accent sur la facilité, la sécurité et l’efficacité, Windows Autopatch veut offrir une grande tranquillité d’esprit aux administrateurs informatiques » promet Microsoft.
La promesse est belle. On attend avec impatience de voir comment elle se concrétisera. En attendant, vous pouvez en apprendre davantage dans un billet de blog et dans une FAQ, publiés par l’éditeur.
À lire également :
> Windows 11 : Microsoft présente d’importantes améliorations à venir…
> Windows 365 ‘next’ : Microsoft veut réinventer le DaaS et l’utilisation d’un Cloud PC
> Windows 11 : les nouveautés promises sont là… mais pas pour tout le monde !
> Le Patch Management : un incontournable de la cybersécurité
> La CISA presse les utilisateurs de Windows et macOS pour qu’ils patchent leurs OS…
> Atera renforce le patching automatique
> Invanti acquiert RiskSense pour s’imposer sur le patch management
> Suricate, un service de patch management souverain
puis